本文部分节选于《域渗透攻防指南》,购买请长按如下图片扫码
域(Domain)是微软为集中管理计算机而推出的一种方式。其中所有的用户帐户,计算机,打印机和其他安全主体都在域控制器的中央数据库中注册。 在域中使用计算机的每个人都会收到一个唯一的用户帐户,然后可以为该帐户分配对该域内资源的访问权限。从Windows Server 2003开始,Active Directory是负责维护该中央数据库的Windows组件。Windows域的概念与工作组的概念形成对比,在工作组中,每台计算机都维护自己的安全主体数据库。工作组(Work Group)是局域网中的一个概念,它是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,以方便管理。在一个网络内,可能有上百台电脑,如果这些电脑不进行分组,都列在“网上邻居”中,电脑无规则的排列为我们访问资源带来不方便。为了解决这一问题,Windows98操作系统之后就引用了“工作组”这个概念,将不同的电脑按功能分别列入不同的组中,如软件部的电脑都列入“软件部”工作组中,网络部的电脑都列入“网络部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。计算机通过工作组进行分类,使得我们访问资源更加具有层次化。默认情况下所有计算机都处在名为 WORKGROUP 的工作组中,工作组资源管理模式适合于网络中计算机不多,对管理要求不严格的情况。它的建立步骤简单,使用起来也很好上手。大部分中小公司都采取工作组的方式对资源进行权限分配和目录共享。相同组中的不同用户通过对方主机的用户名和密码可以查看对方共享的文件夹。不同组的不同用户通过对方主机的用户名和密码也可以查看对方共享的文件夹。所以工作组并不存在真正的集中管理作用 , 工作组里的所有计算机都是对等的 , 也就是没有服务器和客户机之分的。工作组是一个由许多在同一物理地点,而且被相同的局域网连接起来的计算机组成的小组。相应地,一个工作组也可以是遍布一个机构的,但却被同一网络连接的计算机构成的逻辑小组。在以上两种情况下,在工作组中的计算机都可以以预定义的方式,共享文档、应用程序、电子函件和系统资源。 工作组下资源可以相当随机和灵活的分布,更方便资源共享,管理员只需要实施相当低级的维护。 缺乏集中管理与控制的机制,没有集中的统一帐户管理,没有对资源实施更加高效率的集中管理,没有实施工作站的有效配置和安全性严密控制,缺乏单点登录,可扩展性,弹性/灾难恢复功能以及许多安全功能。只适合小规模用户的使用。基于工作组以上缺点,当计算机数量比较多时,大型企业中网络规模大,需要统一的管理和集中的身份验证,并且能够给用户提供方便的搜索和使用网络资源的方式,工作组的组织形式就不合适了,于是域就出现了!域是由工作组升级而来的高级架构,可以简单的把域理解成升级版的“工作组”,相比工作组而言,它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。其实可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。如果说工作组是“免费的旅店”,那么域(Domain)就是“星级的宾馆”;工作组可以随便进进出出,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的 。不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑接入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享,集中统一,便于管理。域结构是很复杂的,因为对于不同体量大小的企业,需求不同。域结构可以分为单域、域树、域林。对于小型公司来说,单域即可满足需求。所有的机器都加入到一个域中。域树指若干个域通过建立信任关系组成的集合。一个域管理员只能管理本域的内部,不能访问或者管理其他的域,二个域之间相互访问则需要建立信任关系 (Trust Relation)。信任关系是连接在域与域之间的桥梁。父域与子域之间自动建立起了双向信任关系,并且信任关系可传递。域树内的父域与子域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。如图所示域树架构,xie.com与shanghai.xie.com 和 beijing.xie.com 是父子域关系,因此他们之间自动建立起了双向信任关系。而beijing.xie.com与x.beijing.xie.com和y.beijing.xie.com、shanghai.xie.com和x.shanghai.xie.com也属于父子域关系,因此他们之间也自动建立起了双向信任关系。因此,在该域树内,所有的域都有信任关系,因此只要拥有任何一个域内的权限,那么就可以访问其他域内的资源。在域树内的所有域共享一个AD DS域服务,也就是在此域树之下只有一个AD DS域服务,不过其数据是分散存储在各个域中的,每一个域中只存储着属于该域的数据。如果把不同地理位置的分公司放在同一个域内,那么他们之间信息交互(包括同步,复制等)所花费的时间会比较长,而且占用的带宽也比较大。因为在同一个域内,信息交互的条目是很多的,而且不压缩;而在域和域之间,信息交互的条目相对较少,而且压缩。还有一个好处,就是子公司可以通过自己的域来管理自己的资源。还有一种情况,就是出于安全策略的考虑,因为每个域都有自己独有的安全策略。比如一个公司的财务部门希望能使用特定的安全策略(包括帐号密码策略等),那么可以将财务部门做成一个子域来单独管理。由一个或多个没有形成连续名称空间的域树组成,林中每个域树都有唯一的名称空间,之间不连续。域林指若干个域树通过建立信任关系组成的集合。可以通过域树之间建立的信任关系来管理和使用整个域林中的资源,从而又保持了原有域自身原有的特性。同一个林中,林根域与其他树根域自动建立双向信任关系,信任关系可传递。因此,在林中,只要拥有其中一个域内的权限,就可以访问其他林中其他域的资源。- 集中管理,可以集中地管理企业中成千上万分布于异地的计算机和用户。
- 便捷的资源访问,能够很容易地定位到域中的资源。 用户依次登录就可以访问整个网络资源,集中地身份验证。
- 可扩展性,既可以适用于几十台计算机的小规模网络,也可以用于跨国公司。
功能级别决定了可用的Active Directory域服务的功能。功能级别还决定了你可以在域或林中的域控制器上运行哪些 Windows Server 操作系统。 但是,功能级别不会影响你可以在已加入域或林的工作站和成员服务器上运行哪些操作系统。部署 AD DS 时,请将域和林功能级别设置为环境可以支持的最高值。 这样一来,你就可以尽可能使用更多的 AD DS 功能。 部署新的林时,系统会提示你设置林功能级别,然后设置域功能级别。可以将域功能级别设置为高于或等于林功能级别的值,但不能将域功能级别设置为低于林功能级别的值。随着 Windows Server 2003、2008 和 2008 R2 生命周期的结束,这些域控制器需要更新到 Windows Server 2012、2012 R2、2016 或更高版本。 因此,建议应从域中删除任何运行 Windows Server 2008 R2及更低版本的域控制器。在 Windows Server 2008 及更高的域功能级别,分布式文件服务DFS复制用于在域控制器之间复制 SYSVOL文件夹内容。 如果在 Windows Server 2008 或更高的域功能级别创建新的域,系统会自动使用 DFS 复制来复制 SYSVOL。 如果在较低的功能级别创建域,则在复制 SYSVOL 时,需从使用 FRS 复制迁移到使用 DFS 复制。 Windows Server 2016 RS1 是最后一个包含 FRS 的 Windows Server 版本。活动目录服务的域功能级别设置只会影响到该域,不会影响到其他域。域功能级别分为以下几种,并随着Windows Server系统的发布而更新,不同的域功能级别各有不同的特点:- Windows 2000:域控可以是Windows2000、Windows Server 2003及后面版本的新系统。
- Windows Server 2003:域控可以是Windows Server 2003、Windows Server 2008及后面版本的新系统。
- Windows Server 2008:域控可以是Windows Server 2008、Windows Server 2008R2及后面版本的新系统。
- Windows Server 2008R2:域控可以是Windows Server 2008R2、Windows Server 2012及后面版本的新系统。
- Windows Server 2012:域控可以是Windows Server 2012、Windows Server 2012R2及后面版本的新系统。
- Windows Server 2012R2:域控可以是Windows Server 2012R2、Windows Server 2016及后面版本的新系统。
- Windows Server 2016:域控可以是Windows Server 2016 和 Windows Server Standard 2012 R2及后面版本的新系统。
可以看到,域控系统版本必须是大于或等于域功能级别的系统。活动目录服务的林功能级别设置会影响到该林内的所有域。林功能级别分为以下几种,并随着Windows Server系统的发布而更新,不同的林功能级别各有不同的特点:- Windows 2000:域控可以是Windows2000、Windows Server 2003及后面版本的新系统。
- Windows Server 2003:域控可以是Windows Server 2003、Windows Server 2008及后面版本的新系统。
- Windows Server 2008:域控可以是Windows Server 2008、Windows Server 2008R2及后面版本的新系统。
- Windows Server 2008R2:域控可以是Windows Server 2008R2、Windows Server 2012及后面版本的新系统。
- Windows Server 2012:域控可以是Windows Server 2012、Windows Server 2012R2及后面版本的新系统。
- Windows Server 2012R2:域控可以是Windows Server 2012R2、Windows Server 2016及后面版本的新系统。
- Windows Server 2016:域控可以是Windows Server 2016 和 Windows Server Standard 2012 R2及后面版本的新系统。
可以看到,林中的所有域控系统版本必须是大于或等于林功能级别的系统。打开Active Directory用户和计算机,找到域名xie.com,右键——>属性。如图所示:即可在“常规”这里看到域功能级别和林功能级别。如图所示:打开Windows管理工具——>Active Directory管理中心——>点击域名即可看到右边的提升林功能级别和提升域功能级别了。如图所示:点击对应按钮即可,如下,点击提升域功能级别,会提示可用的域功能级别。选中了需要提升的域功能级别后,点击确定。如图所示:工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,你只需要经过域控的许可即可。域和工作组适用的环境不同,域一般是用在比较大的网络里,工作组则较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他电脑如果想互相访问首先都是经过它的,但是工作组则不同,在一个工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的,但是和域一样,如果一台计算机想访问其他计算机的话首先也要找到这个组中的一台类似组控服务器,组控服务器不是固定的,以选举的方式实现,它存储着这个组的相关信息,找到这台计算机后得到组的信息然后访问。非常感谢您读到现在,由于作者的水平有限,编写时间仓促,文章中难免会出现一些错误或者描述不准确的地方,恳请各位师傅们批评指正。如果你想一起学习AD域安全攻防的话,可以加入下面的知识星球一起学习交流。https://baike.baidu.com/item/工作组/5103560?fr=aladdinhttps://baike.baidu.com/item/windows域/1492318?fr=aladdinhttps://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/active-directory-functional-levels
文章来源: http://mp.weixin.qq.com/s?__biz=MzI2NDQyNzg1OA==&mid=2247492389&idx=1&sn=928a3832d99d406c8174b32ed2f8636d&chksm=eaae6318ddd9ea0ed1afb90a9efc72c37fb6079aa786893ba7dd89badd4d9d2e0c16621d235d#rd
如有侵权请联系:admin#unsafe.sh